23:06
15/6/2015

Obszerny post na blogu LastPassa dotyczacy incydentu i jak zwykle celne komentarze na Reddicie.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

22 komentarzy

Dodaj komentarz
  1. Jak do tej pory LastPass nie wspomina o konieczności zmiany hasła przy logowaniu się do swojego konta. Maila z powiadomieniem też jeszcze nie dostałem.

    • Zgodnie z wpisem:
      0. info na mailu jest bądź będzie – nieco zajmie nim roześlą je do wszystkich
      1. wyciekły hashe i salty, ale nieco zajmie ich złamanie
      2. zaszyfrowane hasłem sejfy nie wyciekły, więc ewentualny atak musiałby nastąpić online
      3. w międzyczasie logowanie z nowego urządzenia wymaga dodatkowej weryfikacji przez maila

  2. Polecam obejrzeć jak Pan Gibson wyjaśnia jak działa LastPass

    https://www.youtube.com/watch?v=r9Q_anb7pwg

  3. “Niemniej jednak, we are taking additional measures to ensure”
    ” Jednak, if you have reused your master password”
    ” Jak zawsze, we also recommend enabling multifactor authentication”

    Jeżeli te hasła są tak zabezpieczone jak powyższe tłumaczenie z ich strony…
    PS. Dlatego ja wszystkie hasła trzymam w głowie (choć czasami ciężko przypomnieć sobie, które do czego jest przypisane).

    • Z prawej na dole jest select ‘Translation’, zmień z polish na english.

    • Powiązanie zabezpieczeń haseł z kiepskim CMS-em i jego funkcją tłumaczenia – brawo, na pewno ma sens!

  4. Chyba mamy inną definicję słowa “obszerny” :)

  5. taki mail przychodzi od lastpassa
    Dear LastPass User,

    We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

    We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

    We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

    Regards,
    The LastPass Team

  6. Dostałem kilka godzin po tym jak zmieniłem hasło, a zmieniłem po przeczytaniu tutaj i u konkurencji.

  7. Tytuł artykułu jest błędny, bo sugeruje wyciek haseł witryn użytkowników, a wg opisu incydentu nie wykryto takiego przypadku. Co wyciekło:
    account email addresses, password reminders, server per user salts, and authentication hashes
    To ostatnie oznacza co najwyżej możliwość złamania master password, dlatego zalecają zmienić owo hasło. Tak, złamanie master password może posłużyć do eksportu bazy, ale tylko pod kilkoma warunkami (np. użytkownik nie ma włączonej weryfikacji dwuetapowej, loguje się z tej samej klasy adresowej, etc.).
    Więc, proszę poprawić tytuł z onetowego na właściwy, aby zachować formalną poprawność.

    • +1, wygląda na to, że użyto “hasła” zamiennie z “hashe haseł”

  8. Czytając wiele komentarzy na różnych stronach pod wpisami o tym włamaniu, zauważyłem szalenie dużą liczbę osób twierdzących, że “dlatego wszystkie hasła trzymają w głowie”. Ja korzystam z Lastpass od 2012r. i zgromadziłem tam hasła do 460 serwisów. Jedyne hasła które mam w głowie są do 3 głównych kont pocztowych, 6 banków oraz LastPassa właśnie, a i tak co roku podczas ich zmiany mam problem z zapamiętaniem nowych ciągów.

    Moje pytanie brzmi: W jaki sposób osoby “trzymające wszystkie hasła w głowie” są w stanie je zapamiętać oraz regularnie zmieniać?

    • 1) są to gimnazjaliści wypisujący głupoty, nie wiedzący dobrze o czym piszą
      2) ludzie autystyczni
      3) ludzie którzy posiadają jedno i to samo hasło do wszystkiego
      4) ludzie którzy pamiętają algorytm tworzenia hasła do kolejnego (dowolnego) serwisu. W ten sposób łatwo jest im odtworzyć hasło. Jest to dobry sposób, ale.. ma swoje wady.

      [*] niepotrzebne skreślić

    • 1. Wielu z tych komentujących to dorośli ludzie – być może z mentalnością gimbazy.
      2. Ludzie autystyczni raczej mają inne sprawy na głowie niż komentowanie wycieku bazy hashy haseł.
      3. Być może. Jednak z charakteru ich wypowiedzi, wnioskuję, że raczej chwalą się oni utrzymywaniem wyższego poziomu bezpieczeństwa, co odrzuca możliwość stosowania tego samego hasła.
      4. Jw. Stosowanie algorytmu generowania haseł jest jak stosowanie szyfru Cezara wierząc w jego skuteczność.

      Wychodzi na to, że to Trole. Chyba, że Niebezpiecznik ma jakiś pomysł? :)

  9. Hm, dziwne czasy. Cos bezpiecznego, jest jednak nie do konca bezpieczne. Tylko mózg.

    • Też nie.

      Hasło, a raczej dużą liczbę bardzo skomplikowanych haseł trudno zapamiętać. Istnieje ryzyko, że je zapomnisz – nawet fragment. Istnieje ryzyko, że zapomnisz rzadko używane hasło. Istnieje tez ryzyko, że hasła zostaną z ciebie “wydobyte” jeżeli nie będziesz w pełni świadomy np. pod wpływem środków odurzających. Zdaje się, że w USA robiono kiedyś m.in. tego typu eksperymenty na pacjentach szpitali psychiatrycznych oraz żołnierzach.

  10. można też usunąć konto LastPass i przerzucić się na KeePass ; )

  11. nie wiem, czy to związane z ostatnim wyciekiem, ale aktualnie strona LastPass’a leży ;)

  12. Ja też dostałem informację długo po zmianie głównego hasła. Zmieniłem również co ważniejsze hasła zapisane w lastpass (oczywiście tych najwżniejszych tam nie trzymałem :]).

    Dzisiaj odkryłem że nie mogę zalogować się na konto: “Nieznany adres email”. Na dopowiedź od lastpass dlaczego moje konto zostało usunięte muszę czekać ponad 5 dni…

    Czy komuś z was też zniknęło konto na lastpass beż żadnego powiadomienia?

    • Okazało się, że moje konto istnieje, tylko zapomniałem, że przy zmianie hasła zmieniłem też adres email…

  13. Ja używam własnego LastPass (wada działa tylko pod Unix’ami), tj:

    #!/bin/bash
    echo -n “Enter your salt (won’t be displayed): ”
    read -s SALT
    echo -en “\n”
    echo -n “Confirm: ”
    read -s SALT_CONFIRM
    echo -en “\n”
    if [ $SALT != $SALT_CONFIRM ]; then
    echo “Confirm did not match. Program ending.”
    exit 1;
    fi
    echo -n “Enter your string: ”
    read STRING
    echo -n “Confirm: ”
    read STRING_CONFIRM
    if [ $STRING != $STRING_CONFIRM ]; then
    echo “Confirm did not match. Program ending.”
    exit 1;
    fi
    echo -n “Your password is: ”
    PASSWORD=$(echo -n “$SALT$STRING” | sha512sum | base64 -w 0)
    echo ${PASSWORD:0:32}
    exit 0

    Znalezione w sieci

    • Ja polecam dodatek Password Hasher do Firefoxa (do Chrome też jest). No i na Androida kompatybilna apka Hash It!

Odpowiadasz na komentarz Kenjiro

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: